Linux安全攻防的那些事儿

看了日志我才吓一跳

不多说,先上图。

这是一台服务器上的登录失败的纪录,前面的是尝试次数,后面的是IP。 查过排第一的那个IP,来自国内。当然,攻击者也有很多其它国家的,不多评论。

查询命令为:(适用于CentOS)

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

看到这里,首要的步骤就是,更换密码。 之前用的弱密码,我想可能极有可能已经被破解。立马换成包含英文、数字、特殊字符的高强度长密码,如此可提高安全性。之后将自己的rsa公钥添加到服务器,方便登录。(另外可以实施的措施有,更换ssh端口,默认为22;关闭密码登录;避免使用root帐户登录

实际上你允许小偷来你家门锁上尝试各种钥匙,虽然自己有很大把握他无法打开,但还是存在几率的。

如果只允许开门的人尝试限定的次数,例如3次,不成功那么把他认为是不怀好意,直接在门卫那里拦下,如此更加巩固。

经过Google之后,我发现有类似限制登录的程序存在,我就挑选了一个叫做DenyHosts的Python脚本。

简单的安装

yum -y install denyhosts

安装完毕,启动服务即可。

service denyhosts start

随即查看日志记录

tail -f /var/log/secure

结束后,就有一封来自DenyHosts的邮件,内容是关于被屏蔽的IP列表。 使用默认配置就非常省心。